Chainguard’a göre hem geliştiricilerin hem de CISO’ların çoğunluğu, yazılım tedarik zinciri güvenliğini rollerinde en önemli öncelik olarak görüyor (sırasıyla %70 ve %52).
Bununla birlikte, CISO’lar ve geliştiriciler arasında, kuruluş içindeki her departmanın güvenlik konusunda ne kadar bilinçli olduğu, güvenlik sorunlarını önlemek ve azaltmaktan kimin sorumlu olduğu ve CISO’ların geliştiricilerin günlük araçlarını ne kadar iyi anladığına ilişkin açık bir kopukluk ve hatta bazı güvensizlikler var. ve geliştiricilerin işlerinin çeşitli yönleriyle ve kullandıkları araçlarla ilişkili riski ne kadar iyi anladıkları.
Chainguard CPO’su Kim Lewandowski, “Yazılım tedarik zinciri güvenliği konusunda geliştiriciler ve güvenlik liderleri arasında uyum sağlamak, en iyi kaynaklara ve personele sahip kuruluşlar için bile zor bir iştir” dedi. “Rapordaki bulgular güvenlik ortamındaki gerilimi yansıtıyor; kuruluşlar geliştirici hızını ve açık kaynak teknolojisinin avantajlarını nasıl sürdüreceklerini yeniden düşünürken, yazılım tedarik zincirlerinde oluşan yeni bir güvenlik açığı sınıfındaki boşluğu kapatıyorlar. ”
CISO’lar tehdit azaltma stratejisinde yazılım güvenliğini vurguluyor
Yazılım geliştiricilerin %72’si, rollerinde güvenlik konusunda çok bilinçli olduklarını söylerken, CISO’ların yalnızca %50’si yazılım geliştiricilerini güvenlik konusunda çok bilinçli olarak değerlendiriyor.
Geliştiricilerin yalnızca %43’ü CISO’ların konteyner görüntülerinin işlerine nasıl uyum sağladığına “çok aşina” olduğuna inanıyor; bu, geliştiricilerin güvenlik ekiplerinin işlerini anlamak için nasıl algıladıklarının diğer yönleriyle (açık kaynaklı yazılım kitaplıkları ve projeleri) karşılaştırıldığında düşüktür ( %61), kaynak kodu depoları ve kaynak kodu yönetim sistemleri (%60) ve yazılım oluşturma araçları (%59).
Raporda, geliştiricilerin %92’sinin yazılım tedarik zinciri güvenliğinin günlük çalışma ve geliştirme süreçleri için en azından çok önemli olduğunu söylediği, %39’unun ise bunu kesinlikle gerekli olarak işaretlediği ortaya çıktı. CISO’ların %93’ü etkili yazılım güvenliğinin kurumsal olgunluklarının ve tehdit/risk azaltma stratejilerinin kritik bir bileşeni olduğunu belirtti ve %96’sı etkili yazılım güvenliği uygulamalarının hükümet veya düzenleyici gereklilikleri karşılamak için önemli olduğunu söyledi.
CISO’ların %36’sı ve geliştiricilerin %34’ü, çok sayıda tarayıcı hatalı pozitif güvenlik açığı uyarısının, bir kuruluşun yazılım tedarik zinciri güvenliğini sağlamada karşılaştığı en büyük engeller arasında olduğunu bildiriyor. Her iki grup da yazılım tedarik zinciri güvenliğinin önündeki ana engeller olarak savunmasız yazılım tüketimini ve CISO’lar ile geliştiriciler arasındaki uyum eksikliğini belirtiyor.
Geliştiriciler ve güvenlik ekipleri arasında iletişim ve işbirliği eksikliği
CISO’ların %69’u ve geliştiricilerin %64’ü, geliştiriciler ve güvenlik ekipleri arasındaki iletişim ve işbirliği eksikliğinin bir sorun olduğu konusunda hemfikir. Mevcut gerilime rağmen, her iki ekip de yazılım güvenliğindeki en iyi uygulamaların ve araçların, müşteriyi elde tutma (sırasıyla %43 ve %40), tedarik sözleşmesi yükümlülüklerini yerine getirme veya karşılama (%36 ve %40) dahil olmak üzere belirli iş sonuçlarıyla sonuçlanmasının kesinlikle önemli olduğu konusunda hemfikirdir. %32), daha az ihlal veya uzlaşma (her biri %34) ve geliştirici/mühendis üretkenliği (%32 ve %34).
Sequoia Capital Global CISO’su Luke Shoberg, “Geliştiriciler ve CISO’lar, genellikle kuruluşlar arasında çatışan çok sayıda güvenlik önceliğiyle dengede duruyor” dedi. “Rapor, bu kritik alanı yöneten ekipler arasında iç değerlendirmelerin, daha derin işbirliğinin teşvik edilmesinin ve güven inşa edilmesinin gerekliliğini vurguluyor. Teknik ve kültürel engellerin farkına varan kuruluşlar, sürdürülebilir iş başarısı için yazılım tedarik zincirini güvence altına almanın önemini anlama konusunda önemli ilerlemeler kaydetti.”
“Yazılım tüketimi ve güvenlik dünyası kökten değişti. Sequoia Capital Global Dijital Baş Sorumlusu Avon Puri, “Konteynerlerden açık kaynak bileşenlerinin patlamasına kadar her hareket, geliştiricilerin daha hızlı ve daha iyi geliştirme yapmalarına olanak sağlamaya yönelikti” dedi.
“Ancak bu ilerlemeyle birlikte, güvenlik paradigması, yazılım eserlerinin nereden geldiğinin ve bütünlüğünün korunduğuna dair daha iyi kontrollere ve garantilere yeniden odaklanma konusunda zorlandı. Anket, Log4j ve SolarWinds gibi büyük güvenlik açıklarının ardından geliştiricilerin ve güvenlik ekiplerinin bu yeni gerçeklikle boğuştuğunu gösteriyor. Zorluklar konusunda neredeyse evrensel bir farkındalık var, ancak modern geliştirici araç zincirlerini ve iş akışlarını güvence altına almak için güven ve işbirliği bağlamında bu zorlukların en iyi şekilde nasıl çözüleceği konusunda hala bir ton belirsizlik var” diye ekledi Puri.
Sürekli yazılım değişiklikleri çağında güvenlik riskleri
Geliştiriciler zaten “hızlı inşa et ve işleri boz” ile sola kayma güvenlik hareketi arasındaki doğal gerilimle boğuşuyorlar. Aynı zamanda CISO’lar, tedarik zincirine yönelik artan tehditler karşısında kuruluşlarının güvenlik ve uyumluluk duruşunu koruma konusunda büyük bir baskı altındadır.
Rapora göre CISO’ların %77’si ve geliştiricilerin %68’i güvenliğe öncelik verme ihtiyacının ekipleri arasında gerginliğe neden olduğu konusunda hemfikir. Rapor, geliştiricilerin günlük üretkenliklerinin güvenlik araçları veya gereksinimlerinden etkilenmesini istemediğini ortaya koydu; %82’si yazılım tedarik zinciri güvenlik uygulamalarının işlerini yapmalarını zorlaştırmaması gerektiğini kabul etti.
Araç kullanımı da gerilime katkıda bulunuyor; geliştiricilerin %73’ü, güvenlik ekibinin kullanmasını istediği iş/araçların üretkenliklerine ve inovasyonlarına engel olduğunu kabul ediyor.
Sektör, yazılım tüketiminin eski dünyasındaki bazı boşlukları kapatmış olsa da, günümüzün yeni modern gerçekliği, açık kaynaklı yazılımlarda bir patlama, sürekli yükseltmeler ve yamalar ve yazılım yapıtlarını, kapsayıcıları hedef alan yeni güvenlik açıkları sınıfları da dahil olmak üzere daha da fazla açılmayla karşı karşıyadır. görüntüler ve sistemler oluşturun.
Yazılım Tedarik Zinciri güvenliğine yönelik çerçeveler (Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi) hızla olgunlaştı ve güvenlik ekiplerine politikalara ve gözetime nasıl yaklaştıkları konusunda yöntemler sağladı. geliştiricilere daha kuralcı en iyi uygulamaları sunarken.
Kuruluşlar yazılım tedarik zinciri güvenliğinde gelecekteki değişimlere hazırlanıyor
Rapora göre, geliştiriciler ve CISO’lar tarafından yazılım tedarik zinciri güvenliğine halihazırda verilen önemle uyumlu olarak çoğu kişi, kuruluşlarının halihazırda yazılım tedarik zinciri güvenliğini ele alacak bazı araçlara sahip olduğunu söylüyor. Bunlar arasında SBOM’ların benimsenmesi (%40) yer alıyor ve neredeyse yarısı SLSA (%47) ve SSDF (%47) gibi yazılım tedarik zinciri güvenliği çerçevelerini uyguluyor.
Yazılım tedarik zinciri güvenliği araçlarının ve çerçevelerinin mevcut benimsenmesine ek olarak, CISO’lar ve geliştiriciler önümüzdeki beş yıl içinde kuruluşlarında yazılım tedarik zinciri güvenliğine yönelik değişikliklerin gelmesini bekliyor.
Çoğunluk, yazılım tedarik zinciri güvenliğine öncelik verilmesinin önümüzdeki beş yıl içinde artacağına inanıyor (geliştiriciler arasında %85, CISO’lar arasında %74), geliştiricilerin neredeyse üçte biri bunun önemli ölçüde artacağını söylüyor (güvenlik uzmanları arasında %32 ve %22). liderler).
CISO’lar biraz daha ılımlı bir yaklaşıma sahip; %23’ü şirketlerinin yaklaşımının aynı kalacağını öngörüyor (buna karşılık geliştiriciler arasında %15). Güvenlikle ilgili karar vericilerin önceliklendirmesine yönelik bu biraz ılımlı bakış açısı, kendilerinin uzun vadeli güvenlik stratejisi kararlarına daha fazla dahil olmaları ve bu kararlarda daha fazla görünürlüğe sahip olmaları nedeniyle olabilir.